Condividi tramite

Esercitazione: Registrare il traffico di rete da e verso una rete virtuale usando il portale di Azure

La registrazione dei flussi della rete virtuale è una funzionalità di Azure Network Watcher che consente di registrare informazioni sul traffico IP che scorre attraverso una rete virtuale di Azure. Per altre informazioni sulla registrazione del flusso di rete virtuale, vedere Log dei flussi di rete virtuale.

Questa esercitazione illustra come usare i log dei flussi di rete virtuale per registrare il traffico di rete di una macchina virtuale che passa attraverso la rete virtuale.

Il diagramma mostra le risorse create durante l'esercitazione.

In questa esercitazione si apprenderà come:

  • Creare una rete virtuale
  • Creare una macchina virtuale
  • Registra il provider Microsoft.insights
  • Abilitare la registrazione dei flussi per una rete virtuale usando i log dei flussi di Network Watcher
  • Scaricare i dati registrati
  • Visualizzare i dati registrati

Prerequisiti

  • Un account Azure con una sottoscrizione attiva. Se non ne hai uno, crea un account gratuito prima di iniziare.

Creare una rete virtuale

In questa sezione viene creata una rete virtuale myVNet con una subnet per la macchina virtuale.

  1. Accedi al portale di Azure.

  2. Nella casella di ricerca nella parte superiore del portale immettere reti virtuali. Selezionare Reti virtuali nei risultati della ricerca.

    Screenshot che mostra come cercare le reti virtuali nella portale di Azure.

  3. Seleziona + Crea. In Crea rete virtuale immettere o selezionare i valori seguenti nella scheda Informazioni di base:

    Impostazione Valore
    Dettagli di progetto
    Abbonamento Seleziona la tua sottoscrizione di Azure.
    Gruppo di risorse Seleziona Crea nuovo.
    Immettere myResourceGroup in Nome.
    Selezionare OK.
    Dettagli dell'istanza
    Nome Immetti myVNet.
    Area geografica Selezionare (Stati Uniti) Stati Uniti orientali.

  4. Selezionare Rivedi e crea.

  5. Rivedere le impostazioni e quindi selezionare Crea.

Creare una macchina virtuale

In questa sezione viene creata la macchina virtuale myVM.

  1. Nella casella di ricerca nella parte superiore del portale immettere Macchine virtuali. Selezionare Macchine virtuali nei risultati della ricerca.

  2. Selezionare + Crea e quindi macchina virtuale.

  3. In Crea macchina virtuale immettere o selezionare i valori seguenti nella scheda Informazioni di base:

    Impostazione Valore
    Dettagli del progetto
    Abbonamento Seleziona la tua sottoscrizione di Azure.
    Gruppo di risorse Selezionare myResourceGroup.
    Dettagli dell'istanza
    Nome della macchina virtuale Immettere myVM.
    Area geografica Selezionare (Stati Uniti) Stati Uniti orientali.
    Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta.
    Tipo di sicurezza Selezionare Standard.
    Immagine Selezionare l'immagine preferita. Questa esercitazione usa Windows Server 2022 Datacenter: Azure Edition - x64 Gen2.
    Misura Scegliere una dimensione della macchina virtuale o lasciare l'impostazione predefinita.
    Account dell'amministratore
    Nome utente Immettere un nome utente.
    Parola chiave Immettere una password.
    Conferma la password Reimmettere la password.

  4. Selezionare la scheda Rete oppure selezionare Avanti: Dischi e quindi Avanti: Rete.

  5. Nella scheda Rete selezionare i valori seguenti:

    Impostazione Valore
    Interfaccia di rete
    Rete virtuale Selezionare myVNET.
    Subnet Selezionare mySubnet.
    IP pubblico Selezionare (nuovo) myVM-ip.
    Gruppo di sicurezza della rete NIC Selezionare Basic.
    Porte di ingresso pubbliche Selezionare Consenti porte selezionate.
    Selezionare le porte in ingresso Selezionare RDP (3389).

    Attenzione

    È consigliabile lasciare la porta RDP aperta a Internet solo per i test. Per gli ambienti di produzione, è consigliabile limitare l'accesso alla porta RDP a un IP specifico o a un intervallo di indirizzi IP. È anche possibile bloccare alla porta RDP l'accesso a Internet e usare Azure Bastion per connettersi in modo sicuro alla macchina virtuale dal portale di Azure.

  6. Selezionare Rivedi e crea.

  7. Rivedere le impostazioni e quindi selezionare Crea.

  8. Al termine della distribuzione, selezionare Vai alla risorsa per passare alla pagina Panoramica di myVM.

  9. Selezionare Connetti, quindi RDP.

  10. Selezionare Scarica il file RDP e aprire il file scaricato.

  11. Selezionare Connetti, quindi immettere il nome utente e la password creati nei passaggi precedenti. Se richiesto, accettare il certificato.

Registrare il provider di Insights

La registrazione dei flussi richiede il provider Microsoft.Insights . Per verificarne lo stato, seguire questa procedura:

  1. Nella casella di ricerca nella parte superiore del portale, immettere sottoscrizioni. Selezionare Sottoscrizioni nei risultati della ricerca.

  2. Selezionare la sottoscrizione di Azure per cui si desidera abilitare il provider in Sottoscrizioni.

  3. In Impostazioni selezionare Provider di risorse.

  4. Immettere insight nella casella del filtro.

  5. Verificare che lo stato del provider visualizzato sia Registrato. Se lo stato è NotRegistered, selezionare il provider Microsoft.Insights quindi scegliere Registra.

    Screenshot che mostra come registrare il provider Microsoft Insights nel portale di Azure.

Creare un account di archiviazione

In questa sezione viene creato un account di archiviazione da usare per archiviare i log dei flussi.

  1. Nella casella di ricerca nella parte superiore del portale immettere account di archiviazione. Selezionare account di archiviazione nei risultati della ricerca.

  2. Seleziona + Crea. In Crea un account di archiviazione, immettere o selezionare i valori seguenti nella scheda Dati principali:

    Impostazione Valore
    Dettagli di progetto
    Abbonamento Seleziona la tua sottoscrizione di Azure.
    Gruppo di risorse Selezionare myResourceGroup.
    Dettagli dell'istanza
    Nome account di archiviazione Immettere un nome univoco. Questa esercitazione usa nwteststorageaccount.
    Area geografica Selezionare (Stati Uniti) Stati Uniti orientali. L'account di archiviazione deve trovarsi nella stessa area della macchina virtuale e del relativo gruppo di sicurezza di rete.
    Servizio primario Selezionare Archiviazione BLOB di Azure o Azure Data Lake Storage Gen 2.
    Prestazioni Selezionare Standard. I log dei flussi supportano solo gli account di archiviazione di livello Standard.
    Ridondanza Selezionare la ridondanza preferita. Questa esercitazione usa l'archiviazione con ridondanza locale.

  3. Selezionare la scheda Rivedi o selezionare il pulsante Rivedi in basso.

  4. Rivedere le impostazioni e quindi selezionare Crea.

Creare un log dei flussi

In questa sezione viene creato un log del flusso di rete virtuale salvato nell'account di archiviazione creato in precedenza nell'esercitazione.

  1. Nella casella di ricerca nella parte superiore del portale immettere network watcher. Nei risultati della ricerca selezionare Network Watcher.

  2. In Log selezionare Log dei flussi.

  3. In Network Watcher | Log dei flussi , selezionare + Crea o il pulsante blu Crea log dei flussi.

    Screenshot dei log dei flussi di Network Watcher nel portale di Azure.

  4. Immettere o selezionare i valori seguenti in Creare un log dei flussi:

    Impostazione Valore
    Dettagli di progetto
    Abbonamento Selezionare la sottoscrizione di Azure del gruppo di sicurezza di rete che si desidera registrare.
    Tipo di log dei flussi Selezionare Rete virtuale.
    Rete virtuale Selezionare + Selezionare la risorsa di destinazione.
    In Seleziona rete virtuale selezionaremyVNet. Quindi, selezionare Conferma selezione.
    Nome del log dei flussi Lasciare l'impostazione predefinita myVNet-myresourcegroup-flowlog.
    Dettagli dell'istanza
    Abbonamento Selezionare la sottoscrizione di Azure dell'account di archiviazione.
    Account di archiviazione Selezionare l'account di archiviazione creato nei passaggi precedenti.
    Periodo di mantenimento (giorni) Immettere 10 per conservare i dati dei log di flusso nell'account di archiviazione per 10 giorni. Per mantenere i dati dei log del flusso nell'account di archiviazione per sempre (fino a quando non vengono eliminati), immettere 0. Per informazioni sui prezzi dell'archiviazione, vedere Prezzi di Archiviazione di Azure.

    Screenshot della creazione di una pagina di log del flusso nel portale di Azure.

    Annotazioni

    Il portale di Azure crea i log del flusso di rete virtuale nel gruppo di risorse NetworkWatcherRG .

  5. Selezionare Rivedi e crea.

  6. Rivedere le impostazioni e quindi selezionare Crea.

  7. Al termine della distribuzione, selezionare Vai alla risorsa per confermare il log dei flussi creato ed elencato nella pagina Log dei flussi.

    Screenshot della pagina Log dei flussi nel portale di Azure che mostra il log dei flussi appena creato.

  8. Tornare alla sessione RDP con la macchina virtuale myVM.

  9. Aprire Microsoft Edge e passare a www.bing.com.

Scaricare il log dei flussi

In questa sezione si passa all'account di archiviazione selezionato in precedenza e si scarica il log del flusso creato nella sezione precedente.

  1. Nella casella di ricerca nella parte superiore del portale immettere account di archiviazione. Selezionare account di archiviazione nei risultati della ricerca.

  2. Selezionare nwteststorageaccount o l'account di archiviazione creato in precedenza e selezionato per archiviare i log.

  3. In Archiviazione dati selezionare Contenitori.

  4. Selezionare il contenitore insights-logs-flowlogflowevent.

  5. Nel contenitore passare alla gerarchia di cartelle fino a quando non si arriva al PT1H.json file da scaricare. I file di log del flusso di rete virtuale seguono il percorso seguente:

    https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/{subscriptionID}_NETWORKWATCHERRG/NETWORKWATCHER_{Region}_{ResourceName}-{ResourceGroupName}-FLOWLOGS/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

  6. Selezionare i puntini di sospensione ... a destra del file PT1H.json, quindi selezionare Scarica.

    Screenshot che mostra come scaricare i dati di log del flusso di rete virtuale dall'account di archiviazione nel portale di Azure.

Annotazioni

È possibile usare Azure Storage Explorer per accedere ai log dei flussi e scaricarli dall'account di archiviazione. Per altre informazioni, vedere Informazioni di base su Storage Explorer.

Visualizzare il log dei flussi

Aprire il file PT1H.json scaricato usando un editor di testo di propria scelta. L'esempio seguente è una sezione ricavata dal file PT1H.json scaricato, che mostra un flusso elaborato dalla regola DefaultRule_AllowInternetOutBound.

{
    "time": "2025-08-06T20:39:33.3186341Z",
    "flowLogGUID": "00000000-0000-0000-0000-000000000000",
    "macAddress": "6045BDD6DD48",
    "category": "FlowLogFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e//RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_EASTUS/FLOWLOGS/MYVNET-MYRESOURCEGROUP-FLOWLOG",
	"flowLogVersion": 4,
    "operationName": "FlowLogFlowEvent",
    "flowRecords": {
        "flows": [
            {
				"aclID": "00000000-0000-0000-0000-000000000000",
				"flowGroups": [
					{
                        "rule": "DefaultRule_AllowInternetOutBound",
                        "flowTuples": [
                            "1754512773,10.0.0.4,13.107.21.200,49982,443,6,O,C,NX,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

Le informazioni separate da virgola per flowTuples sono quelle riportate di seguito:

Dati di esempio Cosa rappresentano i dati Spiegazione
1754512773 Timestamp Il timestamp di quando si è verificato il flusso in formato UNIX EPOCH. Nell'esempio precedente, la data viene convertita nel 06 agosto 2025 08:39:33 UTC/GMT.
10.0.0.4 Indirizzo IP di origine L'indirizzo IP di origine del flusso. 10.0.0.4 è l'indirizzo IP privato della macchina virtuale creata in precedenza.
13.107.21.200 Indirizzo IP di destinazione L'indirizzo IP di destinazione del flusso. 13.107.21.200 è l'indirizzo IP di www.bing.com. Poiché il traffico è destinato all'esterno di Azure, la regola di sicurezza DefaultRule_AllowInternetOutBound elaborato il flusso.
49982 Porta di origine La porta di origine del flusso.
443 Porta di destinazione La porta di destinazione del flusso.
6 Protocollo Protocollo di livello 4 del flusso nei valori assegnati IANA: 6: TCP.
o Direzione Direzione del flusso. O: Outbound (in uscita).
C Stato del flusso Stato del flusso. C: indica un flusso in corso.
NX Crittografia del flusso La connessione non è crittografata.
7 Pacchetti inviati Numero totale di pacchetti TCP inviati alla destinazione dall'ultimo aggiornamento.
1158 Byte inviati Numero totale di byte di pacchetti TCP inviati dall'origine alla destinazione dall'ultimo aggiornamento. I byte dei pacchetti includono l'intestazione del pacchetto e il payload.
12 Pacchetti ricevuti Numero totale di pacchetti TCP ricevuti dalla destinazione dall'ultimo aggiornamento.
8143 Byte ricevuti Numero totale di byte di pacchetti TCP ricevuti dalla destinazione dall'ultimo aggiornamento. I byte dei pacchetti includono payload e intestazione del pacchetto.

Pulire le risorse

Quando non sono più necessari, eliminare il gruppo di risorse myResourceGroup e tutte le risorse in esso contenute:

  1. Nella casella di ricerca nella parte superiore del portale immettere myResourceGroup. Selezionare myResourceGroup nei risultati della ricerca.

  2. Selezionare Elimina gruppo di risorse.

  3. In Elimina un gruppo di risorse immettere myResourceGroup e quindi selezionare Elimina.

  4. Selezionare Elimina per confermare l'eliminazione del gruppo di risorse e di tutte le relative risorse.

Annotazioni

La risorsa NetworkWatcher_eastus/myVNet-myresourcegroup-flowlog si trova nel gruppo di risorse NetworkWatcherRG , ma verrà eliminata dopo l'eliminazione della rete virtuale myVNet (eliminando il gruppo di risorse myResourceGroup ).

Contenuti correlati